ITセキュリティーに関連したホットトピックを取り上げ、動向や対策をひも解きます。今回は当社SOC(Security Operation Center)で検知した事例を交え、組織に潜在する問題点と侵入・侵害フェーズに着目したランサムウエア対策を解説します。
※「日経コンピュータ」2023年2月2日号より、一部加筆の上、転載。
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/012300001/
日経BPの了承を得て転載/無断転載・複製を禁じます。
ランサムウエア攻撃の流れ
2022年、多くの組織がランサムウエア被害に遭いました。被害に遭った組織は事業の停止や縮小を余儀なくされるなど、ランサムウエアは社会を脅かすサイバー攻撃です。
近年のランサムウエア攻撃は、攻撃者が組織のネットワークに侵入し、侵害拡大とデータ窃取後にランサムウエアを実行します。
攻撃者は、暗号化したデータの復号と窃取データの暴露にそれぞれ脅迫と身代金を要求するため、最近のランサムウエア攻撃は二重脅迫と呼ばれています。ランサムウエアが引き起こす事業影響は深刻であり、その解決も単純ではないため、そもそも被害に遭わないよう予防することが重要です。
ランサムウエア攻撃の流れ|2重脅迫と呼ばれる
では、組織はどのようにランサムウエア被害に遭うのでしょうか。近年当社SOCでは、海外拠点などセキュリティー統制の弱い箇所を起点として、最終的に国内主要拠点に攻撃が拡大する事例が増加しています。つまり、昨今のサイバー攻撃において、サプライチェーン全体を見渡した対策が重要といえます。
問題点(1)テレワーク用端末の脆弱な設定と拠点をつなぐネットワークの管理不備
ランサムウエア攻撃により、意図しない公開ホストの悪用や関連拠点の感染被害が主要拠点に影響した事例が報告されています。テレワークの普及や組織のさまざまな業務形態によりこれまで行われていた境界防御で侵入・侵害リスクを完全に排除できないことが課題になっています。
2022年上半期に警察庁が発表したランサムウエア攻撃の主な侵入経路にリモートデスクトップからの侵入があります。当社SOCにおいても同様の傾向を確認しており、特に顕著なのはテレワークなどを理由に社外に持ち出した端末に対する不正ログインです。
当社SOCが確認した持ち出し端末への不正ログイン件数推移を示します。テレワーク用持ち出し端末への不正ログインは毎月一定数発生しています。
NRIセキュアテクノロジーズのSOCが確認した件数|持ち出し端末への不正ログイン
これらの事例は、テレワークで利用する端末をネットワーク接続した際にグローバルIPアドレスが割り当てられることがあり、リモートデスクトップなどリモートアクセス可能なサービスがインターネットから攻撃されたものです。当社SOCは、この攻撃で攻撃者がログインに成功した事例も確認しています。
また、当社SOCが確認した事例には、海外拠点のホストに侵入した攻撃者が、アクセス可能なホストに対して順に攻撃しながら国内拠点に侵入先を拡大したものもありました。このようにランサムウエア攻撃は侵入したホストを起点にさまざまなネットワークに侵害拡大するため、組織単独で対策を行うだけでは不十分であり、ネットワークでつながる取引先や拠点全体(WAN)で考える必要があります。
SOCで検知した事例を一般化|持ち出し端末が攻撃被害に遭う
そのため、インターネットから接続可能なホストや、組織をつなぐネットワークのアクセス制御およびアカウント管理が適切かどうかを改めて点検する必要があります。ここからは、基本的な対策を解説します。
対策(1)インターネットから接続可能なホスト管理
持ち出し端末の不正ログイン対策の理想はグローバルIPアドレスを割り当てない環境でテレワークを行うことですが、実際には全従業員に徹底するのは困難です。そのため、持ち出し端末に必要なサービス設定を定義し、リモートアクセスが可能なサービスの無効化、Windowsファイアウォールで適切にアクセス制御することも必要です。
また、組織の業務形態によりさまざまな端末の利用場所や設定が存在するため、これらを統制することに加えて侵害発生を前提としたシステム的な対策が効果的です。端末への不正ログインはEDR(Endpoint Detection and Response)で確認できるため、当社はEDRの導入を強く推奨します。
対策(2)拠点間ネットワークを見直し適切にアクセス制御する
サプライチェーンセキュリティーの注目の高まりから、組織間のネットワーク連携を見直す相談が増えています。拠点間でリモートデスクトップが制限されていない、開発用ネットワークにどこからでもアクセスできるなど、拠点をつなぐネットワークの統制がおろそかになっている事例を確認しています。そのため、ネットワーク全体を見直し適切にアクセス制御することが重要です。
また、インシデントを報告する際、国内外拠点の連携で担当者や対応内容が決まっていなかったため初動に時間がかかった例もあります。報告体制を見直し、インシデント対応が迅速にできるよう関係組織や拠点の具体的な対応内容を整理するのもポイントです。
対策(3)認証強化
多くの組織では依然としてパスワード認証が使用されています。そのため、総当たり攻撃に耐性があり、推測困難なパスワードを利用するポリシーが必要です。また、組織内に平文保存されたアカウント情報は攻撃者に探索される情報であり、管理者パスワードの使いまわし運用は1つのアカウント窃取がさらなる侵害拡大を招きます。組織内の侵害拡大を防ぐため、適切なパスワード運用も求められます。
また、インターネットから接続するシステムには二要素認証を検討することで第三者がログインするリスクを低減します。
以上の対策は組織にとって必要な通信やユーザー利用のみを最小限に許可する施策です。この考え方は従来の境界防御に相違ありませんが、組織を横断して侵害拡大する攻撃に対しネットワークでつながる取引先や拠点全体での対策が重要です。
問題点(2)攻撃者の組織侵害が検知できていない
使用するシステムの更新や新たなITソリューションの導入などにより組織のシステムは変化します。そのため、セキュリティー運用をこまめに見直さない組織では、対策漏れが発生し侵入リスクが高まります。
近年、組織の多様な業務形態に対応するため、ゼロトラストに対応したソリューションに注目が集まっています。当社の調査では、2022年に約半数の企業がゼロトラストセキュリティーの導入や検討を行いました。これらは、従来の対策にゼロトラストの対策を組み合わせて組織のセキュリティーを高める施策です。
例えば、EDRは近年端末の侵害調査ツールとして注目されており、企業の半数以上が導入、検討を行っています。EDRは端末の操作内容を記録し不審な挙動を検知するシステムであるため、端末侵害の兆候をより早く捉え原因調査や影響範囲の確認が可能です。当社の監視実績上、EDRは組織の侵害監視に非常に有用であり導入効果の高いセキュリティー対策です。
セキュリティー監視のポイント
セキュリティー監視は既に多くの組織で導入されていますが、当社が経験した運用課題や監視の有効性を上げる施策を解説します。
商用SOCサービスの活用
近年、組織が管理するセキュリティーデバイスは多岐にわたり、これらを相関監視するには専門的な知識が必要です。また、組織独自の視点で監視が可能なプライベートSOCを置く組織が増えている一方で、継続的にその体制を確保することは難しいという相談も受けます。そのため既に独自にセキュリティー監視を運用している組織があっても、運用負荷の高い監視やSIEM(Security Information and Event Management)の運用を商用SOCサービスにアウトソースし、サイバーセキュリティー対策やレジリエンス向上に注力することも現実的な対策です。
セキュリティー監視/インシデントレスポンス体制の定期的な点検
組織のセキュリティー対策の有効性を確認する取り組みに脅威ベースのペネトレーションテストTLPT(Threat-Led Penetration Testing)があります。TLPTは疑似的な攻撃シナリオに沿って組織に侵害調査を行い、攻撃耐性を測ります。この際、実際の侵害と同様な攻撃が実施されるため、セキュリティー監視が適切に検知し、インシデントレスポンスできるかも点検可能です。
そのため、TLPTはセキュリティー監視の有効性を確認する意味でも非常に有用です。こうした取り組みを通じて不足した点を振り返り、対策することでセキュリティー監視の範囲や運用をさらに改善できます。
対策ソリューションの導入状況
出所:企業における情報セキュリティ実態調査(NRI Secure Insight 2022)
積み重ねのランサムウエア対策
ランサムウエア攻撃は組織への侵入から身代金の要求まで複数のステップに分かれており、特定の対策によってリスク低減できるものではありません。対策は、予防、運用、復旧対応それぞれのフェーズで講じる必要があり、さまざまな対策の積み重ねが必要です。
また、これらの対策には経営的な判断も求められます。サイバー攻撃は事業継続に影響する経営課題であり、その対策はサプライチェーン全体に対して必要です。サイバーセキュリティー対策は現場部門のみで行うことは難しく経営層が実情を理解し、現場と一体となって進めることが重要です。
組織が講じるべきランサムウエア対策|対策は積み重ねが重要